为什么要申请证书,因为发送数据的一方不确定建立连接的另一方是不是假冒的,这个时候就只能通过一个权威的第三方,验证确认对方的身份。这个第三方就是CA,证书颁发机构,他的证书一般会在操作系统安装时就已经内置到系统中了。这里以网站为例,具体流程为网站方发送自己的证书申请文件给CA,包含自己的私钥和公钥,然后
创建私有CA
创建CA需要根据openssl的配置文件来指定存放的路径,这个文件为/etc/pki/tls/openssl.cnf,打开文件,这里只列出和创建CA有关的内容:
[ ca ]
default_ca = CA_default # 使用哪个默认的证书区域,意思就是使用下边这个CA_default默认为CA的配置
[ CA_default ]
dir = /etc/pki/CA # 根目录,就是下面的$dir
certs = $dir/certs # 证书位置
crl_dir = $dir/crl # 吊销证书的位置
database = $dir/index.txt # 库索引文件位置
#unique_subject = no
new_certs_dir = $dir/newcerts # 新证书文件位置,这个是创建证书后系统自动生成的,和创建的证书文件一样
certificate = $dir/cacert.pem # CA自签名证书存放位置
serial = $dir/serial # 下一个证书的序号,会自动生成一个old文件,放的之前那个证书的序号
crlnumber = $dir/crlnumber # 下一个吊销证书的序号
crl = $dir/crl.pem #
private_key = $dir/private/cakey.pem #私钥文件存放位置
...
policy = policy_match #指定的策略(就是选择下边两个策略中的哪一个,也可以自己写一份策略,然后这里用新写的策略名字)
# 这里match表示申请方和CA发放方内容必须匹配,而optional就表示可以不同
[ policy_match ] #创建私有证书的默认配置模板
countryName = match #国家
stateOrProvinceName = match #省份
organizationName = match #公司机构
organizationalUnitName = optional #部门
commonName = supplied #用户名
emailAddress = optional #邮箱
[ policy_anything ] #创建公共证书的默认配置模板
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
步骤:
- 1.生成证书索引数据库文件
[root@feng ~]# touch /etc/pki/CA/index.txt - 2.生成证书序列号文件,指定第一个序号为01(这里序号必须为2位数,所以要写01)
[root@feng ~]# echo 01 > /etc/pki/CA/serial - 3.生成私钥,这里使用小括号,生成子进程,先写上umak,这样就可以将生成的文件权限设为600,创建完文件后子进程生命周期结束,不影响shell的umask。
[root@feng ~]# (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
...+++
...................................+++
e is 65537 (0x10001)
- 4.创建自签名证书,输入如下命令
[root@feng ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem
命令中的几个参数:
-new: 生成新证书签署请求- -x509: 专用于CA生成自签证书
- -key: 生成请求时用到的私钥文件
- -days n:证书的有效期限
- -out /PATH/TO/SOMECERTFILE: 证书的保存路径
输入命令后就会进入交互式界面 ,注意配置文件中设置的match的选项,申请人的信息和CA的必须一样。
Country Name (2 letter code) [XX]:CN #选择国家,只能写两个字符
State or Province Name (full name) []:henan #选择省
Locality Name (eg, city) [Default City]:zhengzhou #城市
Organization Name (eg, company) [Default CompanyLtd]:magedu.com #公司
Organizational Unit Name (eg, section) []:IT #部门
Common Name (eg, your name or your server's hostname) []:magedu #姓名或者服务名主机名等
Email Address []:123@123 #邮箱
申请证书
在服务端创建完成私有CA后,客户端就可以生成私钥并申请证书了(私钥放置的位置不是固定的,生成证书申请文件能找到路径就行)如下:
- 1.生成私钥
[root@localhost ~]# (umask 066;openssl genrsa -out /etc/pki/CA/private/test.key 2048)
Generating RSA private key, 2048bit long modulus
...............................+++
....................................................
+++e is 65537 (0x10001)
- 2.生成证书申请文件
[root@localhost ~]# openssl req -new -key /etc/pki/CA/private/test.key -out /etc/pki/tls/test.csr
#进入交互式界面,配置match的项必须和CA填写一致
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:henan
Locality Name (eg, city) [Default City]:zhengzhou
Organization Name (eg, company) [Default Company Ltd]:magedu.com
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:magedu
Email Address []:123@123
A challenge password []:1234 #设置一个密码
- 3.将证书请求文件传给CA
[root@localhost ~]# scp /etc/pki/tls/test.csrroot@192.168.0.234:/tmp
CA签署证书
- 1.在CA服务端上根据客户端上传的证书请求文件,签署证书:
[root@feng ~]# openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 365
两次确认后,生成成功,然后将签发的证书传给申请端,就可以使用了。
网友评论